Безопасный трафик в источники Azure Front Door

Функции Front Door лучше всего работают, когда трафик проходит только через Front Door. Необходимо настроить источник для блокировки трафика, который не был отправлен через Front Door. В противном случае трафик может обойти брандмауэр веб-приложения Front Door, защиту от атак DDoS и другие функции безопасности.

Примечание.

Термины источник и группа источников в этой статье обозначают серверную часть и серверный пул конфигурации Azure Front Door (классическая модель).

Front Door предоставляет несколько подходов, которые можно использовать для ограничения трафика источника.

При использовании номера SKU premium Front Door можно использовать Приватный канал для отправки трафика в источник. Дополнительные сведения о Приватный канал источниках.

Необходимо настроить источник для запрета трафика, который не проходит через Приватный канал. Способ ограничения трафика зависит от типа используемого источника Приватный канал:

  • служба приложение Azure и Функции Azure автоматически отключают доступ через общедоступные конечные точки Интернета при использовании Приватный канал. Дополнительные сведения см. в статье Использование частных конечных точек для веб-приложений Azure.
  • служба хранилища Azure предоставляет брандмауэр, который можно использовать для запрета трафика из Интернета. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.
  • Внутренние подсистемы балансировки нагрузки со службой Приватный канал Azure не являются общедоступными для routable. Вы также можете настроить группы безопасности сети, чтобы обеспечить запрет доступа к виртуальной сети из Интернета.

Источники на основе общедоступных IP-адресов

При использовании источников на основе общедоступных IP-адресов необходимо использовать два подхода, чтобы обеспечить поток трафика через экземпляр Front Door:

  • Настройте фильтрацию IP-адресов, чтобы убедиться, что запросы к источнику принимаются только из диапазонов IP-адресов Front Door.
  • Настройте приложение, чтобы проверить X-Azure-FDID значение заголовка, которое Front Door подключает ко всем запросам к источнику и убедитесь, что его значение соответствует идентификатору Front Door.

Фильтрация IP-адресов

Настройте фильтрацию IP-адресов для источников, чтобы принимать трафик из внутреннего IP-пространства Azure Front Door и только служб инфраструктуры Azure.

Тег службы AzureFrontDoor.Backend предоставляет список IP-адресов, которые Front Door использует для подключения к источникам. Этот тег службы можно использовать в правилах группы безопасности сети. Вы также можете скачать набор данных ip-адресов Azure и тегов служб, который регулярно обновляется с помощью последних IP-адресов.

Кроме того, следует разрешить трафик из базовых 168.63.129.16 служб инфраструктуры Azure через виртуализированные IP-адреса узла и169.254.169.254.

Предупреждение

Пространство IP-адресов Front Door регулярно изменяется. Убедитесь, что вы используете тег службы AzureFrontDoor.Backend вместо жесткого написания IP-адресов.

Идентификатор Front Door

Только фильтрация IP-адресов недостаточно для защиты трафика к источнику, так как другие клиенты Azure используют те же IP-адреса. Необходимо также настроить источник, чтобы убедиться, что трафик был получен из профиля Front Door.

Azure создает уникальный идентификатор для каждого профиля Front Door. Идентификатор можно найти в портал Azure, найдя значение идентификатора Front Door на странице обзора профиля.

Когда Front Door отправляет запрос в источник, он добавляет X-Azure-FDID заголовок запроса. Источник должен проверить заголовок на входящих запросах и отклонить запросы, в которых значение не соответствует идентификатору профиля Front Door.

Пример конфигурации

В следующих примерах показано, как защитить различные типы источников.

Вы можете использовать Служба приложений ограничения доступа для фильтрации IP-адресов, а также фильтрации заголовков. Возможность предоставляется платформой, и вам не нужно изменять приложение или узел.

Следующие шаги